8Budovanie VPN pomocou IPsec - príklady a riešenia

Vzdialený prístup je dnes úplne neoddiskutovateľnou súčasťou správy sieťových zariadení ľubovoľne veľkej lokálnej siete, a to predovšetkým s ohľadom na nutnosť pohotového zásahu správcu siete v prípade neočakávanej situácie a v spojitosti so znížením celkových nákladov na takú akciu. Stačí teda, aby bol správca siete pripojený k Internetu a môže tak vzdialene monitorovať a prípadne rekonfigurovať jednotlivé sieťové prvky.

V minulosti sa na vzdialený prístup na správu sieťových prvkov používal protokol Telnet. Ten ale nijako nechránil vlastnú komunikáciu, takže bolo relatívne jednoduché premávku odpočúvať a zachytiť prihlasovacie informácie. Rozšírením prístupu do Internetu teda vznikla potreba takého protokolu, ktorý by všetku komunikáciu zabezpečil pred potenciálnymi útočníkmi. Vznikol tak protokol SSH (Secure Shell), ktorý štandardne komunikuje transportným protokolom TCP na porte 22, poskytuje zabezpečenú autentizáciu oboch strán, zabezpečuje ich integritu, transparentné šifrovanie prenášaných dát a voliteľne aj bezstratovú kompresiu (viac informácií je možné nájsť v odporúčaní RFC 4252).

Potreby veľkých spoločností vzájomne bezpečne prepojiť oddelené pobočky dali vzniknúť virtuálnym privátnym sieťam zabezpečujúcich prepojenie dvoch a viac sieťových zariadení v prostredí nedôveryhodnej verejnej siete Internet. Ďalším dôvodom bola aj cena za prepojenie. V prípade využitia vyhradených okruhov by totiž boli náklady neporovnateľne vyššie. VPN je možné vo všeobecnosti deliť podľa vrstvy, na ktorej pracujú z pohľadu referenčného modelu OSI. Najpoužívanejšie VPN technológie prehľadne uvádza nasledujúca tabuľka.

Najpoužívanejšie technológie v sieťach VPN

Typ VPN

Vrstva RM OSI

Opis

Frame Relay

linková

Vyžaduje homogénne prostredie Frame Relay. Spoľahlivejšie, bezpečnejšie, ale aj drahšie v porovnaní s IP VPN.

ATM

linková

Vyžaduje homogénne prostredie ATM. Podobne ako FR poskytuje virtuálne kanály s dohodnutými parametrami.

L2TP/PPTP

linková

L2TP ako náhrada PPTP, ktorý odvádza kľúče z hesla používateľa (potenciálna slabina). PPTP využíva na šifrovanie MPPE (Microsoft Point-to-Point Encryption) a L2TP IPsec. Definované sú odporúčaniami RFC 2637RFC 2661.

BGP/MPLS

linková/sieťová

Slúži na bezpečnú výmenu informácií medzi hraničnými smerovačmi BGP (Border Gateway Protocol) v chrbticových sieťach pomocou MPLS tunelov. Definovaný odporúčaním RFC 4364 a ďalšími.

IPsec

sieťová

Bezpečnostné rozšírenie klasického protokolu IP. Šifrovaním každého paketu vzniká transparentný zabezpečený prenos (tzv. tunel). Definované niekoľkými RFC odporúčaniami.

SSL/TLS

transportná a vyššie

SSL (Secure Sockets Layer) je technológia nezávislá (transparentná) od použitej technológie sieťovej vrstvy. Od SSL je následne odvodený protokol TLS (Transport Layer Security) definovaný v odporúčaní RFC 5246.

Najčastejším spôsobom prepojenia pobočiek je dnes spojenie pomocou protokolu IPsec VPN, kedy je postavený šifrovaný jednosmerný logický (virtuálny) kanál, tzv. SA medzi smerovačmi/firewallmi umiestnenými na okraji lokálnej siete.

Pre duplexnú (obojsmernú) komunikáciu je teda potrebné zriadiť dve nezávislé jednosmerné SA.

Protokol IPsec je povinnou súčasťou IPv6 a dodatočne bol implementovaný aj do IPv4.

Dokáže pracovať v dvoch režimoch (tunelovacom - plne zapuzdrený pôvodný IP paket do nového IP paketu, a transportnom - hlavička protokolu IPsec je vložená medzi pôvodnú IP hlavičku a hlavičku protokolu vyššej vrstvy) a využíva pre zabezpečenie dva protokoly AH a ESP. Obidva protokoly podporujú buď nulové šifrovanie (NULL), alebo algoritmy DES (Data Encryption Standard), 3DES (Triple DES), AES (Advanced Encryption Standard) a Blowfish. Protokol IPsec je definovaný mnohými odporúčaniami RFC (Request For Comments), ale najzákladnejšie je odporúčanie RFC 4301. Na zabezpečenie integrity sú použité HMAC algoritmy MD5 (Message-Digest 5) a SHA-1.